반응형
1.네트워크 개요
 
#OSI 7계층
1계층(물리 계층)
RS-232C, I430, RS-449, 리피터
 
2계층(데이터 링크 계층)
물리 계 층에서 전송한 비트에 대한 동기 및 식별, 원활한 데이터 전송 관리
MAC + LLC(Logical Link Control)
회선제어, 흐름제어(정지-대기, 슬라이딩), 오류제어(FEC, ARQ)
ARP, RARP, PPP, SLIP, 브리치, MAC, CSMA/CD, VLAN
L2TP, L2F, PPTP
 
3계층(네트워크 계층)
데이터가 목적지까지 올바르게 도달할 수 있도록 경로 선택 및 라우팅 기능 수행
논리적 링크 설정, 상위 계층 데이터를 작은 크기의 패킷으로 분할하여 전송하는 역할
IP, ICMP, IGMP, RIP, OSPF : 라우팅/포워딩, 라우터
 
4계층(트랜스포트 계층)
이 계층을 기준으로 하위 계층 / 상위 계층으로 구분
두 종단 간제어를 담당
TCP, UDP, SSL
 
5계층(세션 계층)
세션 : 전송 모드(전이중/반이중), NFS, SQL, RPC
 
6계층(표현 계층)
통신 장치의 데이터 표현 방식, 상이한 부호 체계 간의 변화, 데이터 압축 및 해제
암호화 / 복호화, 인코딩 / 디코딩 담당
ASCII, MPGE, ipg, 암호학 등
 
7계층(응용 계층)
각종 응용서비스 제공 및 네트워크 관리
FTP, TFTP, SNMP, SMTP, Telnet, HTTP, DNS, DHCP
 
 
 
 
#데이터 전송 단위
[비프패세메]
비트스트림(1계층) > 프레임(2계층) > 패킷(3계층) > 세그먼트(4계층) > 메세지(5계층 이상)
 
 
 
 
# 네트워크 토폴로지 종류
A. 망형(Mesh Topology)
 

 
 
장점 : 특정 노드의 장애가 다른 노드에 영향을 주지않고, 회선장애에 유연한 대처 가능
단점 : 회선구축비용이 많이 들며, 새로운 노드 추가 시 비용부담이 발생
 
 
 
 
B. 링형(Ring Topology)
 

 
장점 : 단 방향 통신으로 신호 증폭이 가능하며 거리 제약이 적음
단점 : 노드의 추가 삭제가 용이하지 않음.
 
 
 
C. 성형(Star Topology)

 

 
장점 : 장애 발견이 쉽고, 관리가 용이함.
단점 : 주 노드에 장애가 발생하면 전체 네트워크 사용이 불가능함.
 
 
 
 
D. 버스형(Bus Topology)

 
장점 : 노드의 추가 및 삭제가 용이하고, 특정 노드의 장애가 다른 노드에 영향을 주지 않음.
단점 : 공통배선의 대역폭을 공유하기 때문에 노드 수가 증가하면 배선의 트래픽이 증가하여 네트워크 성능이 저하됨.
 
 
 
 
 
 
 
2.TCP/IP
 
 
# 인터넷 서비스 프로토콜의 종류
계층
서비스
포트번호
프로토콜
설명
 
 
 
 
FTP
21
 
 
 
TCP
두 컴퓨터 간의 파일 전송을 위한 인터넷 표준 프로토콜
Telnet
23
원격지 시스템에 접속할 수 있게 해주는 인터넷 프로토콜
SMTP
25
전자우편을 보낼 때 이용하는 표준 통신 규약
HTTP
80
웹 서버와 클라이언트가 상호 통신하기 위하여 사용하는 프로토콜
DNS
53
TCP, UDP
도메인이나 호스트 이름을 숫자로 된 IP 주소로 해석해주는 TCP/IP 네트워크 서비스
TFTP
69
 
UDP
FTP보다 더 단순한 파일 전송 프로토콜
SNMP
161
각 호스트에서 정기적으로 여러 가지 정보를 자동적으로 수집하여 네트워크 관리를 하기위한 프로토콜
 
 

 

 

 
 
# ICMP 메세지 종류와 기능
 
Type
ICMP
메세지 기능
0
Echo Reply
 ICMP Echo Request에 대한 응답 메세지
3
Destination Unreachable
데이터그램이 전달되지 못한다는 것을 알려주는 메세지
4
Source Quench
IP 데이터그램이 라우터의 집중 현상에 의해 손실되고 있음을 알리기 위한 메세지
5
Redirect
목적 IP 주소에 대한 좀 더 적합한 경로가 있음을 알리기 위한 메세지
8
Echo Request
원하는 호스트로의 IP 연결을 확인하기 위해 사용되는 간단한 문제해결 메세지
11
Time Exceeded
타임아웃이 발생하여 IP 패킷이 폐기되었음을 알리는 메세지
12
Parameter Problem
IP 헤더 부분에서 매개변수 등에 오류를 발견했을 경우에 통보하는 에러 메세지
 
 
 
 
# TCP 3 hand shake 구성도
 
 

 

 

 
# 스위치 환경에서의 스니핑 공격
스위치재밍
ARP 스푸핑
ARP 리다이렉트
ICMP 리다이렉트
 
 
 
 
 
 
3.라우팅
 
 
# 라우터를 이용한 네트워크 보안설정
Engress 필터링
라우터 내부 —> 외부로 나가는 패킷의 소스 ip를 체크하여 필터링
 
Ingress 필터링 
Standard, Extended Access-List를 활용, 외부 —> 내부로 유입되는 패킷을 필터링
 
블랙홀 필터링(null 라우팅)
특정한 목적지 ip에 대해 null이라는 가상의 인터페이스로 보내 패킷 통신을 제한하는 것
 
Unicast RPF 필터링
인터페이스를 통해 들어오는 패킷의 소스 ip가 들어온 인터페이스로 다시 나가는지 라우팅 테이블을 보고 확인함
 
 
 
 
 
4.네트워크 장비의 이해
 
# NIC(Network Interface Card)의 기능
네트워크 장비와 LAN 사이의 통신 준비
전송될 데이터를 병렬에서 직렬로 전환
빠른 전송을 위해 데이터를 코딩하고 압축
목적지 장비의 NIC는 데이터를 수신하고 CPU로 데이터를 전달
OSI 모델의 Data Link계층 기능에는 Logical Link Control 기능과 Media Access Control 기능을 구현하도록 프로그래밍하는 하드웨어와 펌웨어가 들어있다.
 
 
 
# VLAN
VLAN은 데이터링크 계층에서 브로드캐스트 도메인을 나누기 위해 사용되는 기술이다.
 
Tagging
단일 링크 네트워크에서 vlan 트래픽 통과 위해 라우터와 스위치 사이에 필요한 것
프레임이 어떤 vlan에 속하는지 식별하기 위해 사용하는 기능
전송되는 패킷이 어떤 vlan에 속하는지 다른 스위치에
 
포트기반 VLAN
스위치 포트를 기준으로 vlan 구성, 가장 일반적인 구성 방식
 
맥어드레스 VLAN
MAC 주소를 등록하여 VLAN을 구성하는 방식, 맥 관리 부담으로 잘 사용하지 않음
 
네트워크 주소기반 VLAN
네트워크 주소를 기준으로 같은 네트워크에 속한 호스트 간 통신 가능, 주로 ip 네트워크 사용
 
프로토콜 기반 VLAN
같은 통신 프로토콜 간 통신 가능하도록 구성
 
 
 
 
5.무선통신 보안
 
 
# 무선 네트워크 유형
WPAN
단거리 Ad Hoc 방식 또는 Peer to Peer 방식
 
WLAN
유선랜의 확장개념 또는 유선랜의 설치가 어려운 지역으로의 네트워크 제공
 
WMAN
대도시와 같은 넓은 지역을 대상으로 높은 전송속도 제공
 
 
 
# 무선 네트워크 보안 위협의 주요 요소
채널(Channel) : 무선 네트워크는 브로드캐스팅 통신을하며 재밍에 취약하다.
이동성(mobility) : 무선장치는 유선 장치보다 휴대가 간편하고 이동성이 수월하여 여러가지 위협이 발생한다.
자원(Resource) : 정교한 운영체제를 가지고 있어 Ddos 공격이나 악성 소프트 위협에 대처가 어려움  
접근성(Accessibility) : 센서나 로봇같은 경우 원격지에 있어서 물리적 공격에 
취약하다.
 
 
 
# CSMA/CD가 무선랜에서 동작하지 않는 이유 3가지
충돌을 감지하기 위해 호스트는 송수신을 동시에 수신해야 한다.(양방향 모드)
어떤 장애물이나 범위 문제 때문에 감지되지 않을 수 있다.
기지국들 간의 거리가 멀경우 감지하지 못할 수 있다.
 
 
 
# 무선랜 기술 표준
 
시기
프로토콜
주요 사항
비고
1997.7
802.11
2.4GHz/2Mbps
최초의 무선랜 프로토콜
 
1999.9
802.11b
2.4GHz/11Mbps
WEP 방식의 보안을 구현할 수 있음
802.11a
5GHz/54Mbps
전파 투과성과 회절성이 떨어져 통신 단절 현상이 심하며, 80211b와 호환되지 않음
2003.6
802.11g
2.4GHz/54Mbps
802.11b에 802.11a의 속도 성능을 추가한 프로토콜로, 802.11b와 호환되나 네트워크 공유 시 데이터 처리 효율이 현격히 줄어드는 문제점이 있음
2004.6
802.11i
2.4GHz/11Mbps
802.11b 표준에 보안성을 강화한 프로토콜
2007
802.11n
5GHz, 2.4GHz
최대 600Mbps의 속도, 여러 안테나를 사용하는 다중 입력/다중 출력 기술과 대역폭 손실의 최소화
 
 
IEEE 802.11b
WEP 방식의 보안을 구현할 수 있다.
공공장소에서 많이 사용되고 있는 규격이다.
주파수 2.4GHz대를 이용하여 최대 전송속도 11Mbps를 낼 수 있다.
 
IEEE 802.11a
5GHz대의 주파수대를 이용하여 최대 전송속도 54mbps를 낼 수 있다.
5GHz대의 주파수를 이용하기 때문에 IEEE 802.11b와 호환이 되지 않는다.
 
IEEE 802.11g
2GHz의 주파수대를 이용하여 54Mbps의 속도를 낼 수 있다.
IEEE 801.b와 호환이 가능하다.
 
IEEE 802.11i
WPA, WPA2방식의 보안을 구현할 수 있다.
2GHz의 주파수대를 이용하여 54Mbps의 속도를 낼 수 있다.
WPA/WPA2-개인, WPA/WPA2-기업으로 구분한다.
WPA/WPA2-개인 : WPA-PSK모드 사용
WPA/WPA2-기업 : 802.1x/EAP모드 사용
 
IEEE 802.11n
여러 개의 안테나를 사용하는 다중화 방식을 사용하여 최대 600Mbps의 속도를 낼 수 있다.
 
 
 
 
 
# 무선랜 보안 취약점 분석
무선랜 취약점
 
물리적 취약점 : 무선 AP장비가 외부로 노출되면 비인가자에 의해 장비 파손 및 리셋 문제 발생 
기술적 취약점 : 도청, DDos, 불법 AP 설치 후 데이터 수집
관리적 취약점 : 장비 관리 미흡, 사용자의 보안의식 결여, 전파관리 미흡
 
무선 암호화 방식
 
WEP(Wired Equivalent Privacy)
1987년 개발된 RC4 스트림 암호화방식을 사용 한다.
 

 

WPA, WPA2
WEP암호화의 취약성을 강화하여 대안으로 나온 동적 암호화키(AES)를 사용한다.
 
 
 
비인가 접근
 
SSID 노출
무선랜을 구분하기 위한 32byte 이름으로 서로 다른 무선랜을 식별하기 위한 용도로 사용한다. 무선 장비에서 Wi-Fi를 활성화했을 때 나오는 무선랜 목록이 바로 SSID 이다.
MAC 주소 노출
무선랜 환경에서 접근제어를 위해서 기기 고유값인 MAC 주소 필터링을 적용한다.
 
 

 

 
 
 
# 무선랜 인증 기술
 
SSID 설정 및 폐쇄시스템 운영
SSID값을 NULL로 지정하여 연결요청 메세지에 대하여 접속을 차단
 
MAC 주소 인증
미리 정해진 인가된 사용자에게만 사전에 MAC 주소 등록, 접속 요청 시 사전에 등록한 리스트에 존재하는지 여부 판단 
 
WEP 인증 메커니즘
사용자 인증과 데이터 암호를 모두 적용할 수 있음
구현이 무척이나 간단하고 인증절차가 간결하여 사용자에게 많은 편의 제공
 
EAP(Extensible Authentication Protocol) 인증 메커니즘
초기에 ppp에서 사용 현재 무선랜 표준인 IEEE 802.1x에서 사용자 인증 방법으로 사용하고 있음
어떤 링크에도 접속이 가능한 단순한 캡슐화 개념 프로토콜
인증 서버와 무선장비 사이에 상호 인증 허용, 패스워드, 토크, OTP, 커버로스를 사용함으로써 유연성 제공
 
 
 
 
 
 
 
 
5.네트워크 관리
 
 
# TTL
Time to Live 약자로 컴퓨터나 네트워크에서 데이터의 유효 기간을 나타내기 위한 방법.
네트워크에서 TTL은 패킷의 무한 순환을 방지하는 역할
애플리케이션에서 TTL은 캐시의 성능이나 프라이버시 수준을 향상 시키는데 사용
 
 
 
 
# TRACERT 과정 설명
 
 
 
# netstat 명령어 옵션
-a : 모든 연결과 수신 대기 포트를 표시한다.
-e : 이더넷 통계를 표시한다.
-f : 외부 주소의 정규화된 도메인 이름을 표시한다.
-n : 주소와 포트 번호를 숫자 형식으로 표시한다.
 
 
 
 
 
 
 
6.네트워크 기반 공격
 
 
#Dos(Denial of Service) 공격의 종류
Dos 공격이란 공격자가 단일 컴퓨터를 통해 공격하는 방식
 
TCP Syn Flooding Attack
3 Way Handshking 과정에서 Half-Open 연결 시도가 가능하다는 취약점을 이용하는 공격
 
대응방법
임계치 기반의 SYN Flooding 차단
First SYN Drop 설정에 의한 차단
SYN Cookie Size를 늘림
 
 
Smur Attack
직접 Broadcast 주소로 ICMP_Request로 보내서 이에대한 ICMP_ECHO_REPLY를 공격지로 보내는 방법
조치방법 : 1. Router에서 Direct Broadcast 패킷은 차단
                  2. Host에서 Broadcast로 전달된 ICMP에 대해서는 응답안하게 설정
 
 
ICMP Flooding
ICMP echo request를 사용하는 ping flood 공격
 
대응방법
ACL 설정을 이용한 차단
INBOUND 패킷에 대한 임계치 설정을 이용한 차단
 
 
UDP Flooding(Fraggle 공격이라고도 함)
공격자가 UDP로 서버에 가상의 데이터를 연속적으로 보내서, 서버의 부하 및 네트워크 오버로드를 발생시키는 공격
 
대응방법
ACL 설정을 이용한 차단
불필요한 UDP 서비스를 차단
 
 
 
 
Land Attack
목적지, 출발지 IP와 Port가 모두 동일하게 보내는 공격
시스템 자원을 고갈시켜 서비스 장애를 유발 시킴
 
Ping of Death Attack
IP 패킷 최대 사이즈보다 큰 ICMP Request를 보내는 공격
조치방법 : IP 패킷 사이즈를 검정하는 설정을 추가
 
 
Teardrop Attack
IP 패킷을 전송할 때 단편화가 발생, 수신자는 단편화된 데이터 재조립 및 오프셋을 더하여 데이터를 복구
오프셋 값을 단편화 간에 중복되도록 고의적으로 수정하거나 정상적인 오프셋 값보다 더 큰 값을 더해 그 범위를 넘어서는 오버플로우를 일으켜 시스템의 기능을 마비시키는 공격
조치방법 : 시스템운영체제가 취약점을 갖지 않도록 패치
 
Inconsistent Fragmentation 공격
Bonk
처음 패킷을 1번으로 보낸 후 다음패킷을 보낼 때 순서번호를 모두 1번으로 조작하여 전송하는 공격기술
 
 
Boink
패킷을 정상적인 순서로 보내다가 중간에 비 정상적인 시퀀스 번호를 전송하는 공격기술
 
 
#DDos(Distributed Denial of Service) 공격이란?
공격자가 다수의 좀피 PC를 이용하여 공격하는 형태
 
 
 
 
 
#DDos(Distributed Denial of Service) 공격 대응 절차
 
1 공격의 인지
2 DDos 공격 유형 파악
3 공격 유형에 따른 차단 정책 정의 및 대응
4 공격 대응 후, 사후 조치
 
 
#DNS 싱크홀이란?
감염된 개인용 PC와 조종자 간의 접속을 차단해 2차 피해를 예방하기 위한 시스템
감염된 pc에서 특정 주소로 연결을 원할 때 실제 해당 주소로 데이터가 전송되지 않고 싱크홀 네트워크가 대신 응답하여 패킷이 외부로 전달되지 않도록 처리
 
 
#DDos(Distributed Denial of Service) 공격의 종류
 
트리누(Trinoo)공격
1999년 6월~7월 사이에 퍼지기 시작했으며, 미네소타 대학 사고의 주범
많은 호스트로부터 통합된 udp flood 서비스거부 공격을 유발하는데 사용되는 도구
 
TFN(Tribed Flood Network)공격
트리누의 발전된 형태
UDP flood 공격을 할 수 있을 뿐만 아니라 TCP SYN flood 공격, ICMP echo 요청 공격, ICMP 브로드캐스트 공격을 할 수 있음
 
 
Stacheldraht 공격
독일어로 철조망이라는 뜻으로 1999년 10월에 처음 출현
트리누와 TFN의 특성을 다 가지고 있음
마스터 시스템과 에이전트간의 암호화 통신을 보장
 
TFN2K 공격
TFN의 발전된 형태로 통신에 특정 포트가 사용되지 않고 암호화 수행
 
 
 
#HTTP 관련 DDos 공격
 
GET Flooding
공격할 시스템에 TCP 3-way handshaking 과정을 통해 정상적인 접속을 한 뒤, 특정한 페이지를 http의 GET Method를 통해 무한대로 실행
 
대응방법
콘텐츠 요청 횟수에 대한 임계치 설정에 의한 차단
시간별 웹페이지 URL 접속 임계치 설정에 의한 차단
Web-Scraping 기법을 이용한 차단
 
GET Flooding with Cache-Control(CC Attack)
HTTP 메시지의 캐시 옵션을 조작하여 캐싱서버가 아닌 웹서버가 직접 처리하도록 유도하여 캐싱 서버의 기능을 무력화하고 웹서버의 자원을 소진
 
동적 HTTP Requeest Flooding
지속적인 요청페이지를 변경하여 웹 페이지를 요청하는 기법
 
Slow HTTP POST DOS(RUDY, R-U-Dead Yet)
POST 지시자를 이용하여 서버로 전달할 다량의 데이터를 장시간에 걸쳐 분할전송 하면 서버는 post데이터가 모두 수신되지 않았다고 판단해 연결을 장시간 유지하기 때문에 부하 발생
 
Slow HTTP Header DOS(Slowloris)
헤더 정보를 조작해 구분할 수 없도록 하면 웹 서버는 아직 http 헤더 정보가 전달되지 않는 것으로 판단하여 연결을 장시간 유지
 
Slow HTTP Read DOS
TCP 윈도우 크기 및 데이터 처리율을 감고시킨 후 http 데이터를 송신하여 웹서버가 정상적으로 응답하지 못하도록 Dos상태를 유발
 
#기타 DDos 공격
 
해시도스(HaskDos) 공격
웹서버는 클라이언트로부터 전달받는 http메세지의 매개정보관리를 위해 해시테이블 사용
조작된 매개정보를 전송해 해시값 충돌을 발생시켜 CPU 자원 소모를 통해 서비스를 방해
 
헐크도스(HulkDos) 공격
웹서버로 접속할 수 있는 클라이언트 수를 모두 사용하여 정상적인 서비스가 불가능하게 유도하는 Get Flooding 공격 유형
 
 
 
#DRDos(Distributed Reflection Denial of Service) 공격
별도의 에이전트 설치 없이 프로토콜 구조의 취약점을 이용해 정상적인 서비스를 운영하는 시스템을 분산 반사 서비스 거부 공격의 에이전트로 활용하여 공격하는 기법
 
 
#DRDos 공격유형
SYN Flooding : TCP의 연결 설정과정의 취약점을 이용
ICMP Flooding : ICMP 프로토콜의 echo Request와 Echo Reply를 이용
DNS 증폭 : 많은 양의 레코드정보를 요구하는 dns질의타입을 요청
NTP 증폭 : 최근 접속한 클라이언트 목록을 요청
SNMP 증폭 : SNMP agent에 MIB와 같은 정보를 대량 요청
CHARGN 증폭 : 대량의문자열을 전송
 
 
 
#DRDos 공격의 위협요소(일반 DDos 공격과의 차이점)
패킷 전송되는 경로가 무수히 많다.
반사 서버의 단계적 사용 및 확산
공격대상 ip를 근원지의 ip로 위조하여 전송하기 때문에 역추적이 어려움
 
 
 
#DRDos 공격유형별 대응방법
 
UDP/ICMP Flooding 공격방어
ACL 설정을 이용한 차단
INBOUND 패킷에 대한 임계치 설정을 이용한 차단
 
SYN Flooding 공격 방어
임계치 기반의 SYN Flooding 차단
First SYN Drop 설정에 의하 차단
 
Get Flooding 공격 방어
콘텐츠 요청 횟수에 대한 임계치 설정에 의하 차단
시간별 웹페이지 URL 접속 임계치 설정에 의하 차단
Web-Scraping 기법을 이용한 차단
 
 
#VOIP서비스 공격의 유형
 
UDP 플러딩 공격
개방된 포트로무의미한 더미 패킷을 전공하는 공격
 
RTP 플러딩 공격
미디어 스트림을 대량으로 수신자에게 전송시키는 공격
 
INVITE 플러딩 공격
다량의 INVITE 패킷을 공격대상 서버로 전송하는 공격
 
Register 플러딩 공격
Register를 통해 다른 사용자가 서버를 사용하지 못하게끔 과무하를 거는 공격
 
Cancel 공격
Bye 메세지 공격과 유사한 방식
 
Bye 공격
위조된 bye를 임의의 공격대상에게 요청하여 현재 이루어지고 있는 통화를 강제적으로 종료시키는 공격 유형
 
 
 
 
 
7.네트워크 스캐닝
 
 
# 풋 프린팅
공격자가 공격 전에 공격대상에 대한 다양한 정보를 수집하기 위해 사용하는 방법
 
 
 
#스캐닝
실제 공격방법을 결정 또는 공격에 이용될 수 있는 네트워크 구조, 시스템이 제공하는 서비스 정보를 얻음
 
 

 
 
 
 
#OPEN 스캔
 
TCP Full Open 스캔
포트가 열려있는 경우 대상 시스템으로부터 SYN/ACK 패킷을 수신 받으면 그에 대한 ACK 패킷을 전송함으로써 연결을 완료하는 방식
<그림 삽입 필요>
 
 
TCP Half Open 스캔
포트가 열려있는 경우 대상시스템으로부터 SYN/ACK 패킷을 받으면 공격자는 즉시 RST 패킷을 보내 연결을 끊음으로 써 로그를 남기지 않도록 한다.
<그림삽입 필요>
 
 
UDP 스캔
스캔하고자 하는 포트를 대상으로 UDP 연결을 시도할 때 ICMP Port Unreachable 에러 메세지가 수신면 비활성화를 의마하고, 아무런 응답이 없으면 활성화를 의미한다.
<그림삽입 필요>
 
 
#Stealth Scan
 
FIN, NULL, XMAS 스캔
 
TCP FIN Scan
TCP의 FIN플래그를 ON으로 설정해 패킷을 송신
 
TCP Null Scan
TCP의 모든 플래그를 OFF로 설정해 패킷을 송신
 
TCP XMAS Scan
TCP의 모든 플래그를 ON으로 설정해 패킷을 송신
포트가 열려있을 경우에는 응답이 없고, 포트가 닫혀 있는 경우에만 RST 패킷이 되돌아 온다.
 
TCP ACK Scan
TCP ACK 플래그를 ON으로 설정해 패킷을 송신
방화벽에서 필터링 된다면 응답이 없거나 ICMP 메세지를 받고 필터링 되지 않으면 RST+ACK를 받음
 
Fragment Scan
Stealth Scan이라는 것만 알아두자!
 
 
 
#NMAP 사용법
 
-sS : TCP 하프 연결을 이용해서 Stealth모드로 스캔
-sU : UDP 스캔
-sP : ping을 통해 네트워의 어느 호스트가 살아있는지
-sT : TCP scanning의 가장 기초적인 형태로 connect()함수를 사용해서 모든 포트에 대해 스캔하는 방식
 
 
 
# TCP 세션 하이재킹의 특징
 
 
 
 
 
#IDS의 동작 순서
① 데이터 수집(raw data collection)
② 데이터 가공 및 축약(data reduction and filtering)
③ 분석 및 침입탐지 단계
④ 보고 및 대응(Reporting and Response)
 
 
 
 
#침입탐지시스템 기술의 구현방법을 고려할 때 세가지 항목
① 사후 감사추적에 의한 분석기술
② 실시간 패킷 분석 기술
③ 실시간 행위 감시 및 분석 기술
 
 
#[지식기반/오용 침입탐지]와 [행위기반/비정상행위 침입탐지]의 특징
 
분류형태
특징
장점
단점
지식기반/오용 침입탐지
  • 특정 공격에 관한 분석결과를 바탕으로 패턴을 설정
  • 패턴과의 비교를 통하여 일치하는 경우 불법 침입으로 간주하는 방법
  • 오탐률(False Positive)이 낮음
  • 전문가 시스템 이용
  • 트로이목마, 백도어 공격 탐지가능
  • 새로운 공격탐지를 위해 지속적인 공격패턴 갱신 필요
  • 패턴에 없는 새로운 공격에 대해서는 탐지 불가능
행위기반/비정상행위 침입탐지
  • 사용자의 행동양식을 분석한 후 정상적인 행동과 비교해 이상한 행동, 급격한 변화가 발견되면 불법침입으로 탐지하는 방법
  • 정량적인 분석, 통계적 분석을 사용
  • 형태 관찰, 프로파일 생성, 프로파일 기반으로 이상여부를 확인(I/O 사용량, 로그인 횟수, 패킷량 등)
  • 인공지능 알고리즘 사용으로 스스로 판단하여 수작업의 패턴 업데이트 불필요
  • 알려지지 않은 새로운 공격탐지 가능
  • 오탐률(False Positive)높음
  • 정상과 비정상 구분을 위한 임계치 설정 어려움
 
 
 
규칙-기반 침입탐지(오용 침입탐지)
 
  • 시스템 로그, 네트워크 입력정보, 알려진 침입방법, 비정상적인 행위 패턴 등의 특징을 비교하여 탐지하는 방법
  • 기존의 침입방법을 저장해 두었다가 사용자 행동 패턴이 기존의 침입 패턴과 일치하거나 유사한 경우에 침입 탐지하는 방법
  • 기존의 공격패턴을 정확하게 유지하고 있다면 비정상 행위 탐지보다 False-Positive 확률을 감소시킬 수 있음
 
규칙-기반 침입탐지(오용 침입탐지) 종류
  • 전문가 시스템
  • 키 모니터링
  • 상태 전이 분석
  • 패턴 매칭
 
 
 
통계적 변형 탐지(비정상 침입탐지)
  • 관찰된 사건들을 정상적인 행위에 대한 정의들과 비교하여 심각한 수준의 일탈 행위를 식별하는 과정
  • 시스템과 사용자의 정상적인 행위 패턴을 프로파일로 생성하고 실제 시스템상에서의 행위가 프로파일 범위를 벗어날 경우를 탐지하는 방법
  • 오용 탐지방법보다 데이터베이스 관리가 용이하고 알려지지 않은 공격도 탐지 가능
 
통계적 변형 탐지(비정상 침입탐지)
  • 통계적 분석 방법
  • 예측 가능한 패턴 생성 방법
  • 신경망 모델
 
긍정오류(false positives) : 합법적 사용자를 침입자로 판단하는 오류
 
부정오류(false negative) : 침입자를 합법적 사용자로 판단하게 되는 오류
 
 
 
 
# N-IDS와 H-IDS의 특징
 
분류형태
특징
장점
단점
호스트 기반
(Host-based IDS)
서버에 직접 설치되므로 네트워크 환경과 무관
  • 기록되는 다양한 로그자료를 통해 정확한 침입방지 가능
  • 호스트에 대한 명백한 침투 탐지 가능
  • 트로이목마, 백도어, 내부자에 의한 공격탐지/차단 가능
  • 해커에 의한 로그 자료의 변조 가능성 존재 및 DoS공격으로 IDS 무력화 가능
  • 호스트 성능에 의존적이며, 리소스 사용으로 서버부하 발생
네트워크 기반
(Network-based IDS)
네트워크 세그먼트당 하나의 감지기만 설치하면 되므로 설치 용이
  • 네트워크에서 실행되어 개별 서버의 성능저하가 없음
  • 네트워크에서 발생하는 여러 유형의 침입을 탐지
  • 해커의 IDS공격에 대한 방어가 가능하며 존재 사실도 숨길 수 있음
  • 네트워크 패킷이 암호화되어 전송될 때 침입 탐지 불가능
  • 네트워크 트래픽이 많이 증가함에 따라 성능 문제 야기
  • 오탐률(False Positive)이 높음
 
 
 
 
 
# 이상 금융거래 탐지시스템(FDS, Fraud Detection System)
고객 신용카드 거래를 분석해 평소와 다른 의심거래 이상 징후가 있을 때 회원과 통화하거나 확인 과정을 통해 사고를 예방하는 시스템
 
 
# 스노트(Snort)
일종의 침입탐지시스템으로 실시간 트래픽 분석, 프로토콜 분석, 내용검색/매칭, 침입탐지 Rule에 의거하여 오버플로우, 포트스캔, CGI공격, OS확인 시도 등의 다양한 공격과 스캔을 탐지
 
 
# 스노트의 주요기능
패킷 스니퍼 : 네트워크상의 패킷을 스니핑 하여 보여주는 기능
패킷 로거 : 모니터링한 패킷을 저장하고 로그에 남기는 기능
네트워크 IDS/IPS : 네트워크 트래픽을 분석하여 공격을 탐지/차단
 
 
 
 
#NAT의 특징
① 라우터에 의해 적은 숫자의 유효 IP 주소만으로도 많은 시스템이 인터넷에 접속할 수 있게 하는 네트워크 서비스
② NAT에서 내부 네트워크와 외부 네트워크는 자연스럽게 두 개의 네트워크로 분리
③ 외부에서 내부 네트워크로 직접적인 접근이 불가능하게 되므로 네트워크 보안효과를 가져옴
 
 
#NAT의 종류
Static NAT : 하나의 내부 IP 주소와 외부 IP 주소를 1:1로 매핑
Dynamic NAT : 여러 개의 내부 IP 주소와 여러 개의 외부 IP 주소를 동적으로 매핑시키는 방법
PAT : 하나의 공인 IP를 다수의 사설 IP가 포트번호로 구분하여 주소를 매핑하는 방법
 
 
 
 
# 방화벽의 유형
 
 
 
 
 
# 방화벽 구성방식의 종류
 

 
 
스크린 라우터(Screen Router)
장점
단점
  • 구조가 간단하고, 장비 추가비용 소요가 없다.
  • 네트워크 계층에서 동작하므로 클라이언트와 서버에 변화가 없어도 된다.
  • 하나의 스크리닝 라우터로 보호하고자 하는 네트워크 전체를 동일하게 보호할 수 있다.
  • 네트워크 계층과 트랜스포트 계층에 입각한 트래픽만 방어할 수 있다.
  • 세부적인 규칙 적용이 어렵고 많은 규칙을 적용할 경우 라우터에 부하가 걸려 대역폭을 효과적으로 이용할 수 없다.
  • 인증기능 수행은 불가능하며 내부구조를 숨기기 어렵고, 1개의 장애물밖에 없어 방어의 깊이가 약하다.
  • 실패한 접속에 대한 로깅을 지원하지 않으며, 패킷 필터링 규칙에 대한 검증이 어렵다.
 
 
 
 

 
베스쳔 호스트(Bastion Host)
장점
단점
  • 스크리닝 라우터 방식보다 안전하다.
  • 정보 지향적인 공격을 방어할 수 있다.
  • 각종 기록 정보 생성 및 관리가 쉽다.
  • Bastion Host가 손상되면 내부 네트워크를 보호할 수 없다.
  • 로그인 정보가 유출되면 내부 네트워크를 보호할 수 없다.
 
 
 
 
 

 
  • 두개의 인터페이스를 가지는 장비(내부, 외부에 각각 1개씩 배치)
  • 라우팅 기능이 없는 방화벽을 설치
듀얼 홈 게이트(Dual Homed Gateway)
장점
단점
  • 스크리닝 라우터 방식보다 안전하다.
  • 정보 지향적인 공격을 방어할 수 있다.
  • 각종 기록정보를 생성하며 방화벽의 관리와 설치, 유지보수가 비교적 용이하고 내부 네트워크를 숨길 수 있다.
  • 제공되는 서비스가 증가할수록 Proxy 소프트웨어 가격이 상승한다.
  • 사용자 정보 입력이 필요하고, 배스천호스트가 손상되거나 로그인 정보가 유출되면 내부 네트워크를 보호할 수 없다.
 
 
 

 
  • 듀얼 홈드 호스트 구조+스크리닝 라우터
  • 내부 네트워크에 놓여 있는 배스천호스트와 외부 네트워크 사이에 스크리닝 라우터로 구성
스크린 호스트 게이트(Screened Host Gateway)
장점
단점
  • 다른 방화벽에 있는 모든 장점이 있으며 융통성도 뛰어나다.
  • 네트워크 계층(스크리닝 라우터)과 응용 계층(배스천호스트)에서 방어하기 때문에 2단계 방어가 가능하고 기본 필터구조보다 필터링 규칙이 단순하며, 방어의 깊이가 개선되어 해커의 공격에 잘 대처할 수 있다.
  • 서비스 속도가 느리고, 공격자 IP 스푸핑이나 IP 단편화를 이용한 공격으로 배스천호스트에 침입해 들어오면 배스처호스트와 나머지 내부 호스트를 보호할 방법이 없게 된다.
  • 해커나 악의의 내부자에 의해 스크린 라우터의 라우팅 테이블이 변경되면 외부 트래픽이 배스천호스트로 입력되지 않고 곧바로 내부 네트워크로 진입하여 내부 네트워크 방어가 불가하다.
 
 
 

 
  • 스크리닝 라우터 + 듀얼 홈드 호스트 구조 + 스크리닝 라우터(3중 방어 체계)
  • 인터넷과 내부 네트워크 사이에 DMZ라는 서브넷을 운영하는 방식
  • 외부에서 접속할 수 있어야 하며 보호되어야 할 시스템은 주로 DMZ 네트워크에 배치
스크린 서브넷 게이트(Screened Subnet Gateway)
장점
단점
  • 타 방식의 장점을 그대로 계승하고, DMZ와 같은 보안층을 가지고 있어 매우 안전하며 모듀럴하고 유연하고 높은 방어의 깊이를 가진다.
  • 다른 방화벽에 있는 모든 장점이 있으며 융통성도 뛰어나다.
  • 해커가 침입하려면 통과해야 하는 것이 많아 매우 안전하다.(이중 라우터 구조와 서브 네트워크를 제공)
 
 
  • 다른 침입차단시스템 방식에 비해 설치와 관리가 어렵고 구축비용이 많이 들며, 서비스 속도가 느려진다.
 
 
 
 
# iptables란?
리눅스 커널에 내장된 netfilter 기능을 관리, rule 기반의 패킷 필터링 기능 제공
상태 추적 기능 제공(기존 연결을 가장하여 접근할 경우 상태 목록과 비교 후 접근 또는 거부 수행)
NAT 기능 제공
확장 모듈을 통한 다양한 기능 제공
 
 
 
tables [TABLE명] [CHAIN명] [RULE설정] [TARGET지정]
 
 
 
#iptables 룰을 설정할 체인 지정
-A : append 모드(해당 체인의 제일 마지막에 룰을 추가)
-I : insert 모드(해당 체인의 첫 행에 룰을 추가, 행 번호 지정 시 특정 행에 룰을 추가)
-D : delete 모드(행 번호를 지정하여 특정 위치의 룰을 삭제)
-F : flush 모드(해당 체인의 모든 룰을 삭제)
-P : 해당 체인의 default 정책 설정
-filter 테이블의 체인에는 INPUT, OUTPUT, FORWARD 체인이 있다.
 
 
# iptables 룰 설정
-p : 프로토콜 지정
-s : 출발지 ip 지정
-d : 목적지 ip 지정
-sport : 출발지 port 지정
-dport : 목적지 port 지정
-i : 패킷이 들어오는 인터페이스 지정
-o : 패킷이 나가는 인터페이스 지정
 
 
# iptables 사용 예시
ex1) 출발지 주소가 192.18.159.31 인 모든 접속포트 차단
 
iptables -A INPUT -s 192.18.159.31 -j DROP
 
ex2) 출발지 주소가 192.18.159.131인 icmp 프로토콜을 거부하는 규칙을 추가
 
iptables -A INPUT -s 192.168.159.131 -p icmp -j DROP
ex3) 목적지 포트가 23번인 tcp 프로토콜 패킷을 거부하는 규칙을 추가
 
iptables -A INPUT --dport 23 -p tcp -j DROP
 
ex4) 목적지 포트가 80번인 tcp 프로토콜 패킷을 받아들이는 규칙을 추가
 
iptables -A INPUT --dport -p tcp -j ACCEPT
 
ex5) 목적지 포트번호가 1023번 이하의 모든 포트인 tcp 프로토콜 패킷을 거부하는 규칙 추가
 
iptables -A INPUT --dport:1023 -p tcp -j DROP
 
 
 
 
# IPSec의 두가지 모드
 
전송모드 : IP 페이로드를 암호화하여 IP헤더로 캡슐화
종단과 종단 사이에씀(End to End)
IP
AH 또는 ESP
DATA
TCP
 
터널모드 : IP패킷을 모두 암호화하여 전송(터널 모드에서는 새로운 헤더를  만듬)
망과 망사이에 씀
New IP
AH 또는 ESP
IP
DATA
TCP
 
 
 
 
# IPSec의 헤더
 
AH
송신자를 확인하고 메세지가 송신되는 동안 수정되지 않았음을 보장, 무결성, 인증, replay attack 방어 제공 (기밀성은 제공 안함)
 
ESP
IP페이로드를 암호화하여 기밀성, 무결성, 인증, replay atack 방어 제공
 
 
 
 
 
 

'CERTIFICATE > 정보보안기사' 카테고리의 다른 글

210529 17회 정보보안기사 실기 시험 후기  (1) 2021.05.29
[정보보안기사 필기 요점정리] - 어플리케이션 보안  (0) 2020.11.20
[티스토리 블로그 업로드용] 정보보안기사 요점정리 - 시스템 보안  (0) 2020.05.09
[정보보안기사] 필기 기출문제 공부할 때 유용한 사이트  (0) 2019.11.26

티스토리툴바